隨著商業(yè)銀行業(yè)務(wù)的快速發(fā)展，信息系統(tǒng)在促進(jìn)商業(yè)銀行提高工作效率、提升服務(wù)水平、拓展業(yè)務(wù)范圍等方面的作用越來越明顯。信息系統(tǒng)在帶來便利的同時(shí)，也帶來了一定的風(fēng)險(xiǎn)。信息系統(tǒng)安全問題日漸成為商業(yè)銀行內(nèi)、外部監(jiān)管的重點(diǎn)。研發(fā)風(fēng)險(xiǎn)是在信息系統(tǒng)研發(fā)階段可能引入的，導(dǎo)致信息系統(tǒng)出現(xiàn)安全性問題的風(fēng)險(xiǎn)。研發(fā)風(fēng)險(xiǎn)管理工作是從安全和風(fēng)險(xiǎn)角度對信息系統(tǒng)安全設(shè)計(jì)、實(shí)施情況進(jìn)行統(tǒng)籌管理的一項(xiàng)工作，旨在保障和提高新研發(fā)信息系統(tǒng)的安全性。

研發(fā)風(fēng)險(xiǎn)管理的工作現(xiàn)狀

我國商業(yè)銀行雖然在規(guī)模、業(yè)務(wù)特性與管理模式上存在差異，但由于同處于我國經(jīng)濟(jì)大環(huán)境下，其信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管理工作面臨相似的環(huán)境和挑戰(zhàn)。目前我國銀行的系統(tǒng)研發(fā)模式有自主研發(fā)、合作開發(fā)、外包和外購等幾種。大型國有商業(yè)銀行一般以自主研發(fā)為主，大中型股份制商業(yè)銀行一般采用合作開發(fā)方式為主，大多數(shù)小型和地方性金融機(jī)構(gòu)則主要采用外包或外購的方式。

隨著我國商業(yè)銀行信息化建設(shè)的不斷深入，目前大多數(shù)商業(yè)銀行都加強(qiáng)了信息科技風(fēng)險(xiǎn)管理，建立了包括組織、制度、技術(shù)等方面的信息科技風(fēng)險(xiǎn)管理體系，涵蓋了基礎(chǔ)架構(gòu)、研發(fā)、測試、運(yùn)維、外包、應(yīng)急等各方面。在研發(fā)風(fēng)險(xiǎn)管理方面，采用了必要的管理和技術(shù)手段，加強(qiáng)了系統(tǒng)安全設(shè)計(jì)，在一定程度上滿足了業(yè)務(wù)連續(xù)性需求。但是由于起步較晚和重視程度不夠，研發(fā)風(fēng)險(xiǎn)管理水平整體滯后于信息科技管理水平，因安全設(shè)計(jì)不充分所引發(fā)的安全事件或整改仍不時(shí)出現(xiàn)，危害著商業(yè)銀行的安全。因此，我國商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管理水平還有待進(jìn)一步提高。

研發(fā)風(fēng)險(xiǎn)管理存在的問題

研發(fā)風(fēng)險(xiǎn)管理組織不完善、流程機(jī)制不健全。研發(fā)風(fēng)險(xiǎn)管理工作的開展需要相關(guān)的組織和角色作為支撐。目前，各商業(yè)銀行的整體信息科技風(fēng)險(xiǎn)管理組織較為完善，但很少能夠深入到研發(fā)風(fēng)險(xiǎn)管理環(huán)節(jié)，主要表現(xiàn)在缺少研發(fā)風(fēng)險(xiǎn)管理的統(tǒng)籌部門，缺少對研發(fā)風(fēng)險(xiǎn)管理進(jìn)行決策的組織機(jī)構(gòu)，項(xiàng)目組中缺少研發(fā)風(fēng)險(xiǎn)管理角色等方面。我國商業(yè)銀行信息系統(tǒng)研發(fā)工作大多以項(xiàng)目的形式進(jìn)行，普遍擁有完整的項(xiàng)目管理流程，但流程中涉及安全和風(fēng)險(xiǎn)的內(nèi)容較少，對系統(tǒng)安全設(shè)計(jì)、實(shí)現(xiàn)的審核機(jī)制不健全，難以保證在研發(fā)階段提高信息系統(tǒng)安全性。

研發(fā)風(fēng)險(xiǎn)管理依據(jù)多、信息系統(tǒng)安全設(shè)計(jì)不規(guī)范。當(dāng)前商業(yè)銀行的信息系統(tǒng)面臨著多方面的監(jiān)管要求，既有行內(nèi)的，也有行外的；既有監(jiān)管機(jī)構(gòu)的，也有業(yè)界的；既有管理要求，也有技術(shù)要求。這些要求的來源不同，側(cè)重點(diǎn)不同，粗細(xì)顆粒度不同，甚至有的相互沖突，給研發(fā)人員造成一定困擾，亟待統(tǒng)籌規(guī)范?，F(xiàn)有信息系統(tǒng)一般都有身份鑒別、訪問控制等設(shè)計(jì)，能夠滿足基本的安全需要。但由于缺乏整體規(guī)范指導(dǎo)，信息系統(tǒng)研發(fā)過程中難以避免安全需求不完整，安全設(shè)計(jì)水平良莠不齊，安全編碼不規(guī)范等問題，導(dǎo)致信息系統(tǒng)仍然可能存在安全漏洞。

安全技術(shù)不能重復(fù)利用、安全技術(shù)支持服務(wù)不足。商業(yè)銀行信息系統(tǒng)具有一些共性的安全設(shè)計(jì)，例如身份認(rèn)證、數(shù)據(jù)加密、日志審計(jì)等。在現(xiàn)有模式下，各個(gè)項(xiàng)目組缺少溝通協(xié)調(diào)，往往自行開發(fā)，造成重復(fù)開發(fā)和資源浪費(fèi)，也不利于企業(yè)安全架構(gòu)整合與管理。研發(fā)出安全的信息系統(tǒng)，必須以相應(yīng)的技術(shù)手段作為支撐，但現(xiàn)有商業(yè)銀行研發(fā)團(tuán)隊(duì)往往缺少這方面的支持和服務(wù)，影響了信息系統(tǒng)安全研發(fā)水平。

此外， 為了應(yīng)對業(yè)務(wù)的發(fā)展變化，商業(yè)銀行必須不斷提高信息系統(tǒng)研發(fā)速度。在業(yè)務(wù)需求緊急和工作量的壓力下，研發(fā)團(tuán)隊(duì)往往會(huì)不自覺地重效率輕安全，形成了安全工作人員的數(shù)量不足，開發(fā)人員的安全意識和安全技能不足等問題。

研發(fā)風(fēng)險(xiǎn)管理目標(biāo)及主要依據(jù)

研發(fā)風(fēng)險(xiǎn)管理工作是從安全和風(fēng)險(xiǎn)角度對信息系統(tǒng)安全設(shè)計(jì)、實(shí)施情況進(jìn)行統(tǒng)籌管理的一項(xiàng)工作，主要目標(biāo)是提升信息系統(tǒng)的安全性，避免安全事件發(fā)生，保證商業(yè)銀行業(yè)務(wù)連續(xù)性。同時(shí)，也應(yīng)關(guān)注信息系統(tǒng)合規(guī)性，避免系統(tǒng)上線后因各類檢查發(fā)現(xiàn)問題而進(jìn)行整改，減少不必要的變更。商業(yè)銀行開展研發(fā)風(fēng)險(xiǎn)管理工作的最理想狀態(tài)，是實(shí)現(xiàn)對所有信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)的統(tǒng)籌管理和良性循環(huán)，實(shí)現(xiàn)外部監(jiān)管要求、信息安全技術(shù)發(fā)展變化與信息系統(tǒng)研發(fā)之間的有效銜接，做到對最新安全要求的快速響應(yīng)、準(zhǔn)確解讀、全程跟蹤、有效落地。

為做好研發(fā)風(fēng)險(xiǎn)管理工作，有效提升信息系統(tǒng)的安全性、合規(guī)性，商業(yè)銀行在信息系統(tǒng)研發(fā)過程中需遵從多方面的要求。這些要求一方面是對研發(fā)風(fēng)險(xiǎn)管理工作的指導(dǎo)和規(guī)范，另一方面也是開展研發(fā)風(fēng)險(xiǎn)管理工作的依據(jù)。從大的方面來說，我國關(guān)于商業(yè)銀行信息安全、保密等方面的法律法規(guī)均屬于研發(fā)風(fēng)險(xiǎn)管理依據(jù)范圍，這些法律法規(guī)的層次較高，不適合指導(dǎo)具體工作開展。從執(zhí)行角度來看，研發(fā)風(fēng)險(xiǎn)管理工作的依據(jù)主要有監(jiān)管要求和信息安全標(biāo)準(zhǔn)，同時(shí)還應(yīng)參考業(yè)界最佳實(shí)踐。

（一）監(jiān)管要求。《巴塞爾新資本協(xié)議》將信息科技風(fēng)險(xiǎn)劃歸操作風(fēng)險(xiǎn)，而研發(fā)風(fēng)險(xiǎn)屬于信息科技風(fēng)險(xiǎn)范疇。因此，當(dāng)前我國商業(yè)銀行遵從的信息科技風(fēng)險(xiǎn)監(jiān)管要求，包括《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《商業(yè)銀行內(nèi)部控制指引》、《中國銀行業(yè)信息科技“十二五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見》等，通常涵蓋研發(fā)風(fēng)險(xiǎn)管理相關(guān)內(nèi)容，是開展研發(fā)風(fēng)險(xiǎn)管理工作的有力依據(jù)。人民銀行、銀監(jiān)會(huì)等監(jiān)管機(jī)構(gòu)對商業(yè)銀行開展的信息科技檢查，以及商業(yè)銀行接受的其他內(nèi)外部科技審計(jì)、風(fēng)險(xiǎn)評估發(fā)現(xiàn)的問題，是從各個(gè)角度對現(xiàn)有監(jiān)管要求的細(xì)化和解讀，屬于未來新建信息系統(tǒng)應(yīng)規(guī)避的問題，也應(yīng)納入研發(fā)風(fēng)險(xiǎn)管理工作依據(jù)范圍。

（二）信息安全標(biāo)準(zhǔn)。信息系統(tǒng)安全問題是整個(gè)IT行業(yè)普遍關(guān)注的問題，經(jīng)過業(yè)界多年探索和經(jīng)驗(yàn)積累形成的信息安全標(biāo)準(zhǔn)，是商業(yè)銀行開展信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管理工作的另一重要依據(jù)。目前國內(nèi)外信息安全標(biāo)準(zhǔn)種類、數(shù)量較多，比較有代表性和有指導(dǎo)意義的包括：信息系統(tǒng)安全等級保護(hù)標(biāo)準(zhǔn)、ISO27001標(biāo)準(zhǔn)、CC標(biāo)準(zhǔn)、Cobit標(biāo)準(zhǔn)等。此外，我國國家密碼管理部門、人民銀行等部委針對各專業(yè)技術(shù)領(lǐng)域頒布的標(biāo)準(zhǔn)，例如《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》、《銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范》、國產(chǎn)加密算法標(biāo)準(zhǔn)等，可作為各專業(yè)領(lǐng)域信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管理的工作依據(jù)。

（三）業(yè)界最佳實(shí)踐。隨著IT行業(yè)對信息系統(tǒng)安全問題的越來越重視，各大公司和機(jī)構(gòu)紛紛進(jìn)行了廣泛而積極的探索，積累了許多最佳實(shí)踐和解決方案，對商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管理工作具有一定的啟發(fā)和借鑒意義。其中，微軟的SDL方法關(guān)于全生命周期安全管理的理念，值得研發(fā)風(fēng)險(xiǎn)管理工作借鑒；OWASP的CLASP方法將安全融入現(xiàn)有項(xiàng)目開發(fā)流程的理念，與商業(yè)銀行在現(xiàn)有條件下推動(dòng)研發(fā)風(fēng)險(xiǎn)管理工作開展的需求相吻合；McGraw的TouchPoints方法在關(guān)鍵點(diǎn)切入安全管理的理念，對研發(fā)風(fēng)險(xiǎn)管理工作具有借鑒意義。

研發(fā)風(fēng)險(xiǎn)管理策略分析

（一）構(gòu)建研發(fā)風(fēng)險(xiǎn)管理體系，全生命周期防范研發(fā)風(fēng)險(xiǎn)。針對商業(yè)銀行研發(fā)過程風(fēng)險(xiǎn)管理工作特點(diǎn)和現(xiàn)狀，要想從根本上解決當(dāng)前存在的問題，應(yīng)統(tǒng)籌考慮，博采眾長，從體系化的角度進(jìn)行整體規(guī)劃，構(gòu)建符合商業(yè)銀行自身實(shí)際情況的研發(fā)風(fēng)險(xiǎn)管理體系。在具體操作上，建議從組織、管理、技術(shù)三個(gè)方面入手。其中，組織方面應(yīng)由專職部門牽頭，設(shè)置項(xiàng)目安全員、安全專家等角色，分別履行評審、督導(dǎo)、執(zhí)行等工作職責(zé)；管理方面做好管理制度、安全開發(fā)標(biāo)準(zhǔn)的制定維護(hù)，以及培訓(xùn)考核等整體推動(dòng)工作；技術(shù)方面要采取多種手段，為項(xiàng)目組提供安全公共組件、安全技術(shù)平臺(tái)、安全工具等技術(shù)支持和服務(wù)。信息系統(tǒng)安全問題是整個(gè)系統(tǒng)級的問題，包括物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等很多方面。同時(shí)，安全問題也是一個(gè)連續(xù)不斷地出現(xiàn)的問題，在信息系統(tǒng)研發(fā)生命周期的每一個(gè)階段都有可能引入風(fēng)險(xiǎn)，無論是選擇的工具、實(shí)現(xiàn)技術(shù)還是編碼的質(zhì)量。因此，研發(fā)風(fēng)險(xiǎn)防控工作應(yīng)貫穿信息系統(tǒng)建設(shè)全生命周期，在信息系統(tǒng)研發(fā)過程中同步做好安全需求分析、安全設(shè)計(jì)、安全編碼、安全測試、安全審核等工作，使研發(fā)風(fēng)險(xiǎn)管理活動(dòng)與項(xiàng)目管理流程緊密結(jié)合，避免引入風(fēng)險(xiǎn)隱患。

（二）做好關(guān)鍵階段的安全審核，堅(jiān)持定制化和個(gè)性化原則。商業(yè)銀行信息系統(tǒng)種類多、數(shù)量多，從安全和合規(guī)的角度來看，每個(gè)信息系統(tǒng)均應(yīng)落實(shí)研發(fā)風(fēng)險(xiǎn)管理要求，但商業(yè)銀行的投入和能力畢竟有限，必須結(jié)合信息系統(tǒng)研發(fā)工作特點(diǎn)，準(zhǔn)確把握工作重點(diǎn)。在信息系統(tǒng)研發(fā)生命周期中，需求分析階段處于初始階段，且與業(yè)務(wù)聯(lián)系緊密，并為后續(xù)工作量估算、系統(tǒng)設(shè)計(jì)等工作奠定基礎(chǔ)。做好需求分析階段的安全評審，能夠保證安全要求在后續(xù)工作中得到貫徹執(zhí)行，具有特別的重要性。同時(shí)，在信息系統(tǒng)測試階段，應(yīng)對信息系統(tǒng)整體安全情況進(jìn)行審核，以驗(yàn)證安全需求實(shí)現(xiàn)情況，及時(shí)修復(fù)發(fā)現(xiàn)的問題。通過一頭一尾兩個(gè)關(guān)鍵階段的安全審核，有效保證新研發(fā)信息系統(tǒng)的安全性。

雖然研發(fā)風(fēng)險(xiǎn)管理工作的管理依據(jù)多，可參考標(biāo)準(zhǔn)多，但是現(xiàn)代商業(yè)銀行發(fā)展迅速，信息科技發(fā)展也是日新月異，任何一個(gè)標(biāo)準(zhǔn)或指引均不能保證普遍適用，永不過時(shí)。商業(yè)銀行在開展研發(fā)過程風(fēng)險(xiǎn)管理工作中，應(yīng)準(zhǔn)確把握和靈活運(yùn)用各類工作依據(jù)和標(biāo)準(zhǔn)，堅(jiān)持定制化和個(gè)性化原則，結(jié)合自身工作特點(diǎn)，制定符合自身實(shí)際情況的管理辦法和技術(shù)標(biāo)準(zhǔn)。對于各類安全工具或服務(wù)，也應(yīng)根據(jù)工作需要做出選擇，并在實(shí)際工作中進(jìn)行個(gè)性化改進(jìn)，尤其是對安全工具的個(gè)性化配置維護(hù)，將成為研發(fā)風(fēng)險(xiǎn)管理工作的主要內(nèi)容之一。

（三）安全與效率兼顧，管理和技術(shù)相結(jié)合。商業(yè)銀行的業(yè)務(wù)擴(kuò)張和發(fā)展速度很快。為搶占市場先機(jī)，商業(yè)銀行信息科技服務(wù)的變化速度也很快，且時(shí)效性要求很高。這就使得商業(yè)銀行必須提高信息系統(tǒng)研發(fā)效率。研發(fā)風(fēng)險(xiǎn)管理工作屬于提升信息系統(tǒng)安全性的強(qiáng)化工作，主要表現(xiàn)在增加信息系統(tǒng)的非功能性需求，增加研發(fā)工作量，因此可能會(huì)影響研發(fā)效率。商業(yè)銀行在開展研發(fā)過程風(fēng)險(xiǎn)管理工作時(shí)，要緊緊圍繞信息系統(tǒng)研發(fā)這個(gè)核心工作任務(wù)，堅(jiān)持服務(wù)研發(fā)、防控風(fēng)險(xiǎn)的原則，妥善處理安全和效率之間的關(guān)系，找到安全和效率之間的最佳結(jié)合點(diǎn)，爭取以最小的投入產(chǎn)生最大的安全效益。

研發(fā)風(fēng)險(xiǎn)管理工作的主要落腳點(diǎn)是加強(qiáng)信息系統(tǒng)研發(fā)全生命周期的風(fēng)險(xiǎn)管理，做好需求、設(shè)計(jì)、編碼、測試等階段風(fēng)險(xiǎn)管理工作，落實(shí)安全技術(shù)措施。因此，與傳統(tǒng)的項(xiàng)目風(fēng)險(xiǎn)管理不同，研發(fā)風(fēng)險(xiǎn)管理不但重視風(fēng)險(xiǎn)管理，還重視安全技術(shù)設(shè)計(jì)和實(shí)現(xiàn)。這就要求在開展研發(fā)風(fēng)險(xiǎn)管理工作過程中，必須將管理和技術(shù)相結(jié)合，在提出研發(fā)風(fēng)險(xiǎn)管理要求的同時(shí)，必須為項(xiàng)目組提供安全技術(shù)支持和服務(wù)，指導(dǎo)和協(xié)助項(xiàng)目組解決技術(shù)難題，使研發(fā)風(fēng)險(xiǎn)管理要求得到切實(shí)貫徹執(zhí)行。

（四）持續(xù)優(yōu)化改進(jìn)。研發(fā)風(fēng)險(xiǎn)管理并非一成不變，隨著商業(yè)銀行業(yè)務(wù)方向，以及信息科技的發(fā)展變化，研發(fā)風(fēng)險(xiǎn)管理要求也在不斷變化。要想保證研發(fā)風(fēng)險(xiǎn)管理工作的持續(xù)性和有效性，必須對研發(fā)風(fēng)險(xiǎn)管理體系進(jìn)行持續(xù)優(yōu)化改進(jìn)。可以采用征求意見或召開專家會(huì)議的方式，定期梳理研發(fā)風(fēng)險(xiǎn)管理變更需求，進(jìn)而確定體系優(yōu)化改進(jìn)的方向。對于管理類優(yōu)化改進(jìn)，需要通過修訂研發(fā)風(fēng)險(xiǎn)管理制度和流程實(shí)現(xiàn)；對于安全技術(shù)發(fā)展變化，需要在安全設(shè)計(jì)、編碼規(guī)范，以及安全技術(shù)支持服務(wù)中予以改進(jìn)。通過持續(xù)改進(jìn)優(yōu)化，實(shí)現(xiàn)研發(fā)風(fēng)險(xiǎn)管理體系的與時(shí)俱進(jìn)和良性循環(huán)。